Eigen Wildcard SSL certificaat maken voor dns en netwerk

zondag 1 mei 2022 10:04

Acties:

0 Henk 'm!

Network/System Admin

Topicstarter

Hallo,

Ik wil graag een eigen Wildcard SSL certificaat maken voor zowel een DNS als Netwerk.
Ik heb op dit moment meerdere servers draaien met eigen SSL Certs, maar deze zijn per machine, dus geen wildcard.
Voorbeeld: extfile.cnf

code:

1	subjectAltName=DNS:router.local.lan,IP:192.168.1.1

Ik weet dat ik de DNS aan kan passen naar DNS:*.local.lan, maar ik wil dan ook graag mijn hele netwerk erin hebben.
Ik heb geprobeerd om IP:192.168.1.0 te grbruiken maar dit werkt niet.

wat kan ik doen om dit voor elkaar te krijgen.

Alvast bedankt.
Bart

zondag 1 mei 2022 11:38

Hero of Time

Moderator LNX

There is only one Legend

Had je zelf niets gevonden hierover? Als ik simpelweg zoek op 'ssl ip wildcard' krijg ik al https://stackoverflow.com...d-in-ssl-tls-certificates terug als resultaat en daar staat mooi uitgelegd waarom het niet kan. Maar niets houd je tegen om 200 "IP:a.b.c.d" notaties erin te zetten.

Commandline FTW | Tweakt met mate

zondag 1 mei 2022 11:38

Acties:

Beste antwoord ✓
+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Had je zelf niets gevonden hierover? Als ik simpelweg zoek op 'ssl ip wildcard' krijg ik al https://stackoverflow.com...d-in-ssl-tls-certificates terug als resultaat en daar staat mooi uitgelegd waarom het niet kan. Maar niets houd je tegen om 200 "IP:a.b.c.d" notaties erin te zetten.

Commandline FTW | Tweakt met mate

zondag 1 mei 2022 12:08

Acties:

0 Henk 'm!

Bart_Smith

Network/System Admin

Topicstarter

Dank je wel,

Ik heb heel wat forums gelezen , maar deze dus gemist.

zondag 1 mei 2022 12:15

Acties:

0 Henk 'm!

GarBaGe

Eigen (self signed) certificaten zijn wat onhandig in gebruik.
Voor €10 per jaar koop je een domeinnaam en kan je via Let's encrypt officiële certificaten krijgen.
Zo heb ik dat voor mijn lokale thuisnetwerk.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

zondag 1 mei 2022 13:09

Acties:

0 Henk 'm!

Bart_Smith

Network/System Admin

Topicstarter

Ik vindt LE certs een nadeel hebben, ik had LE certs op mijn servers en heb deze vervangen door self signed certs.
Nadeel is dat LE Certs verplicht poort 80 open te gooien, dit hoef ik niet te doen bij self signed plus dat je zelf kan beslissen hoe lang een certificaat geldig is.
Natuurlijk heeft een self signed ook nadelen, zoals handmatig al je apparaten van een CA voorzien, maar dit is eenmalig.
Als ik moet kiezen tussen een poort open zetten op mijn router, of een 10 minuten bezig zijn met het installeren van CA's, kies ik voor het laatste.

zondag 1 mei 2022 13:18

Acties:

0 Henk 'm!

xh3adshotx

Bart_Smith schreef op zondag 1 mei 2022 @ 13:09:
Ik vindt LE certs een nadeel hebben, ik had LE certs op mijn servers en heb deze vervangen door self signed certs.
Nadeel is dat LE Certs verplicht poort 80 open te gooien, dit hoef ik niet te doen bij self signed plus dat je zelf kan beslissen hoe lang een certificaat geldig is.
Natuurlijk heeft een self signed ook nadelen, zoals handmatig al je apparaten van een CA voorzien, maar dit is eenmalig.
Als ik moet kiezen tussen een poort open zetten op mijn router, of een 10 minuten bezig zijn met het installeren van CA's, kies ik voor het laatste.

Poort 80 hoeft niet: https://letsencrypt.org/docs/challenge-types/

zondag 1 mei 2022 13:56

Acties:

0 Henk 'm!

Powergrim

Download het tooltje XCA, als het waren creeër je dan een eigen CA op je client device. Die maakt de CA certs en gehele chain aan. Die certs kan je vervolgens weer gebruiken over je hele netwerk. Volgens mij staat XCA ook gewoon toe dat je *. certificates maakt. Zo kan je alles intern signen wat de CA certs support.

Vraag

Beste antwoord (via Bart_Smith op 01-05-2022 12:08)

Alle reacties